山西工程职业学院数据安全管理办法(试行)
第一章 总则
第一条 为深入贯彻落实《网络安全法》《数据安全法》《山西省教育厅关于切实做好数据安全管理工作的通知》(晋教科函[2022]13号)等法律法规,切实加强网络安全防护和保障能力,以及校园数据安全、网络个人信息安全,落实教育系统数据安全指导意见。同时,根据山西工程职业学院数字校园规划建设的需要,提高我院信息化管理与服务水平,规范数据管理和具体实施流程,结合学院实际,特制定本办法。
第二条 本办法适用于我院数据架构管理、数据标准管理、数据质量管理、主数据管理、元数据管理、数据内容管理、数据全生命周期管理、数据基础平台管理、数据应用以及数据需求与规划管理等数据管理领域的各项管理活动。
第三条 本办法所涉及的数据是指学院各部门在建立各类信息系统过程中所覆盖的所有相关数据,包括但不限于各管理服务信息系统、教学平台及网络课程系统、以及各类网站及移动媒体产生的数据。涉及国家秘密信息的数据安全管理,按照国家相关标准和规定执行。
第四条 我院整体数据管理基本原则如下:
(一)合法合规。学校任何部门和个人均不得违法或违规采集、存储和使用数据。
(二)一数一源。明确数据所属业务的职能部门为该数据维护的责任部门,负责实时更新、共享,保障数据的完整性、准确性、唯一性,其他部门履行相关程序后从责任部门获取数据,原则上不得重复采集数据。
(三)开放共享。数据是学校公共资源,所有权和使用权归学校所有。各部门在履行职责和合法合规的前提下,最大程度进行数据共享,打破信息孤岛。
(四)分类分级保护。按照数据在教育发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害性程度确定数据等级,对数据实行分类分级保护。
(五)谁主管谁负责、谁运维谁负责、谁使用谁负责。网络空间不是“法外之地”。打造更加健康、有序、清朗的网络环境是每一个网络主体应尽的义务。
第二章 组织与职责
第五条 网络安全与信息化工作领导小组是学校数据管理工作的领导机构, 主要职责是贯彻落实国家、上级部门关于网络安全、数据安全和信息化战略部署,统筹协调学校网络安全、数据安全和信息化重大问题,研究制定学校网络安全、数据安全和信息化发展战略规划、重要政策和制度措施等。
第六条 信息中心主要任务是贯彻落实学院网络安全和信息化工作领导小组部署的各项工作,负责统筹学院的数据管理工作,制定数据安全管理办法,建立数据安全保障机制,负责组织开展数据安全评估,全面保障学院的数据安全。
第七条 学院各部门负责本部门数据资源的统筹规划、建设,执行学校相关的标准、规范,同时需要落实本部门数据安全防护措施,保障数据安全。各个部门的党政负责人为本部门数据安全管理工作的第一责任人。
第八条 利用第三方平台开展数据活动的部门,必须和第三方平台提供者签订数据使用和保密协议,明确使用方式、应用场景和使用边界,落实数据安全“谁使用谁负责、谁运维谁负责”相关责任。
第三章 数据分类分级
第九条 根据数据泄露、滥用、篡改、毁损可能对国家安全、社会秩序、学校及个人利益造成的影响程度,将数据分为公开数据、内部数据和敏感数据等3类。
(1) 公开数据:公开数据是指学校可以主动公开的数据。
(2) 内部数据:内部数据是指可在特定范围内无条件共享的数据,包括学校部门间共享和与业务部门间产生的数据。网络安全与信息化办公室制定学校部门间数据共享责任清单,明确学校部门间应共享的内部数据,制定部门数据共享责任清单,明确与业务部门间可共享的内部数据。
(3) 敏感数据:敏感数据是指一旦遭泄露或篡改,可能对国家安全、社会秩序、学校利益、个人人身与财产安全等造成损害的数据,包括个人敏感信息(如身份证信息、个人生物识别信息)及业务敏感数据(如学校人事、财务、科研、门禁等信息数据)。学校对敏感数据实施重点保护,以维护学校数据安全。
第十条 各信息系统的负责部门要根据数据的重要性、敏感性和对学校发展的影响程度对现有的数据进行分级且专人管理。
第四章 数据采集管理
第十一条 各部门采集数据应遵循“最小够用”的原则,明确采集依据、范围、场景和用途,原则上不得超越工作职能范围采集数据。
第十二条 各部门数据采集应遵循“一数一源”的原则,学生基本信息数据来源于学生工作部,职工基本信息数据来源于人事部,其他业务部门履行相应程序从责任部门获取数据,原则上不得重复采集数据。
第十三条 校内任何部门和个人不得出现超职能范围采集数据和非业务必须采集数据等违规采集行为。
第十四条 新建信息系统时应在建设方案中明确数据采集内容和数据等级。
第十五条 各部门要全面梳理负责的信息系统数据,建立数据资源目录,并报信息中心备案,如有新增数据采集项目应及时更新报备信息。
第五章 数据存储传输管理
第十六条 数据原则上存储在校内服务器,特殊情况要依照国家相关规定以及学校要求存放在指定的服务器,所有数据不得保存在境外服务器。因业务需求需要存放在云端服务器的,应报备信息中心并在通过安全评估测试的前提下存储,并与云端服务商签署数据保密协议报信息中心备案。
第十七条 各部门要明确数据存储的安全策略,确保信息系统和数据安全稳定,配合信息中心开展信息系统安全等保定级。
第十八条 各部门使用的信息系统应根据数据安全级别采用数据加密、访问控制、数据防泄漏等安全措施。个人信息或敏感数据应采用符合国家要求的密码算法进行加密存储。
第十九条 各部门在传输数据时,要避免以离线文档形式或微信、QQ等渠道传递。同时,在使用校外数据时,应明确其来源,避免使用来源不明数据。
第六章 数据维护监督管理
第二十条 信息系统应严格按照岗位职能设置数据维护权限,规范权限的分配和管理。严禁在未按规定授权的情况下委托他人以本人的账户和口令进行有关的数据录入和修改。各系统用户应当定期更改自己的密码口令,确保数据的安全。密码口令应包含数字、字母大小写、特殊符号且12位以上。
第二十一条 信息系统应记录对业务数据的查询、修改、增加、删除、导出等操作日志,保留时间不少于六个月。
第二十二条 信息中心应联合相关部门定期组织开展学校数据安全风险评估检查工作,及时发现问题并督促相关部门进行整改。
第二十三条 各部门定期开展重要数据和个人信息收集与对外共享情况排查工作,做到数据底数清、去向明。数据采集与对外共享过程中,需签署数据安全保密协议,对数据共享和使用范围做出严格界定。
第二十四条 各部门应加强数据的容灾能力建设,建立数据容灾备份机制和应急预案,保障系统应急恢复。
第七章 数据安全意识管理
第二十五条 各部门应提高本部门人员数据安全意识,加强对数据采集、使用等相关工作人员的数据安全教育和培训。
第二十六条 校内各师生在使用电脑、服务器和校园网过程中,要严格做好数据安全防护,妥善保管个人账号,严禁将账号转借他人使用,严格遵守“涉密信息不上网,上网信息不涉密”。同时,及时更新补丁,修复漏洞,安装正版杀毒软件,及时升级病毒库,定期杀毒,清理电脑、服务器的系统数据垃圾。
第二十七条 各部门、各教学单位,要积极组织相关人员学习《网络安全法》《数据安全法》等法律法规,以开学教育、网络安全宣传周等活动为契机,推进网络安全、数据安全进校园、进课堂等活动。
第二十八条 学院要定期组织管理和技术人员培训,特别是涉及数据活动关键岗位人员的培训,培养师生良好的网络使用习惯,切实提高数据安全意识和防范能力。
第八章 附则
第二十九条 本办法由信息中心负责解释,自发布之日起施行。